Lectures for 2008 - KTH
Lectures for 2008 - KTH
Lectures for 2008 - KTH
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS<br />
___________________________________________________________________________<br />
Sist men inte minst kan nedläggningar eller uppsägning av personal få stora konsekvenser<br />
med personer som känner sig svikna eller som har ett hämndbehär. På engelska kallas detta<br />
ofta för disgruntled employees.<br />
IT ger nya möjligheter att hämnas eller ställa till besvär. Vid omvälvande förändringar, som<br />
vid till exempel företagsförsäljning, uppköp eller nedläggning kan personal, företagspartners<br />
eller kunder få minskad lojalitet till företaget, eller till och med begå illojala eller kriminella<br />
handlingar som en missnöjesyttring. Därför är det viktigt att redan i planeringen inför<br />
organisationsförändringar göra riskbedömningar och vidta förberedande säkerhetsåtgärder.<br />
2.8 Administrativa hot och risker<br />
2.8.1 Okunskap om system och infrastruktur<br />
Ett allt vanligare problem är att ansvariga inte känner till hur in<strong>for</strong>mation hanteras eller hur<br />
IT-infrastrukturen är uppbyggd. Ibland sätter de inblandade en ära i att inte ha kunskap om<br />
system och struktur. Detta innebär givetvis ett stort problem, därför att man kan fokusera fel<br />
eller skapa bristfälliga lösningar. Men det leder också till att man inte får ett övergripande<br />
säkerhetstänkande. Därmed riskerar man att lösningar som införs inte medger någon reell<br />
säkerhet.<br />
2.8.2 Ojämna skyddsnivåer och felfokuserade lösningar<br />
Säkerhet och skyddsnivåer i en organisation är ofta ojämt fördelade. De säkerhetslösningar<br />
som införskaffas är ofta skapade efter enkla kriterier och enligt någon buffelhjordsmentalitet,<br />
där man tänker i precis samma banor som alla andra. Det blir därmed lätt att lägga allt krut på<br />
att säkra upp huvudentrén, vilket IT-mässigt ofta motsvaras av organisationens brandvägg,<br />
medan man isjälva verket glömmer de bakdörrar och andra vägar som leder in och ut ur<br />
nätverket.<br />
Det är minst lika viktigt att göra något åt den allmänna säkerheten på det interna nätverket, att<br />
skydda andra in- och utgångar, till exempel modem- och ISDN-pooler, hyrda förbindelser till<br />
andra företag eller hantera nya transmissionstekniker, exempelvis trådlösa nätverk.<br />
2.8.3 Avtal, dokumentation, rutiner och policies saknas<br />
Dokumentation är ofta en förutsättning för att en organisation ska fungera bra.<br />
Nyckelpersonberoenden kan till exempel minskas genom dokumenterade rutiner och policies.<br />
Dessutom kan man minska risken att arbetet blir godtyckligt eller slarvigt utfört.<br />
Inte sällan blir policies och rutiner snabbt omoderna eftersom de inte underhålls eller<br />
uppdateras. Organisationer kan till exempel skapat en kontinuitetsplanering, där de dokument<br />
som beskriver planeringen är anpassade till äldre system och lösningar. Det kan vara storeller<br />
minidatorlösningar som kanske inte ens används längre inom organisationen.<br />
Andra viktiga dokument som ofta saknas är avtal med leverantörer, servicebyråer,<br />
konsultföretag och liknande. Dessa saknade avtal inkluderar bland annat sekretessavtal,<br />
underhållsavtal, licenser och rättigheter samt så kallade leveransåtaganden (eng. service level<br />
agreement, SLA). Avtal med anställda och användare är en till typ av avtal som borde<br />
upprättas men som ofta saknas, exempelvis ansvarsförbindelser (eng. Acceptable Use Policy,<br />
AUP), distansarbetsavtal och liknande.<br />
Copyright (c) 2003-<strong>2008</strong> Robert Malmgren AB. All rights reserved Sid 47 (139)